1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Gefährliches Sicherheitsloch im…

MSIE 6.0.*

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. MSIE 6.0.*

    Autor: BSDDaemon 12.10.05 - 10:53

    Jeden Monat kommt mindestens eine neue Patchgeschichte für den MSIE.

    Beim Firefox wird dafür immer eine neue 1.0.* Version veröffentlicht.
    Bei Opera wird dafür immer eine neue 7.* bzw 8.* Version veröffentlicht.

    Jedes Mal kommt ein Aufschrei das die Browser ja so viele Fehler haben.

    Mal ehrlich, hätte der MSIE ein nachvollziehbares Versionssystem würden solche Sprüche nicht mehr kommen.

    MSIE6: 86 Secunia Advisories - 57% vom Hersteller gepatcht - 14% extrem kritisch
    Fx1.*: 25 Secunia Advisories - 80% vom Hersteller gepatcht - 04% extrem kritisch

    Keine Software ist perfekt, aber welche weiter davon entfernt ist ist klar.

    Milliarden an Barreserven, Resourcen die mehrere Firmen überdecken würden und jahrelange Erfahrung und dann so ein Resultat.

  2. Re: MSIE 6.0.*

    Autor: zman 12.10.05 - 10:59

    BSDDaemon schrieb:
    -------------------------------------------------------

    > Milliarden an Barreserven, Resourcen die mehrere
    > Firmen überdecken würden und jahrelange Erfahrung
    > und dann so ein Resultat.

    tja, die entwickler sind nun mal nur menschen...
    und werden nicht mit milliarden bezahlt
    ob die entwickler/programmierer von opera/firefox cleverer sind wage ich zu bezweifeln - es kann vielleicht daran liegen, dass bei microsoft jeder programmierer nur einen kleinen teil des codes sieht

  3. Re: MSIE 6.0.*

    Autor: BSDDaemon 12.10.05 - 11:06

    zman schrieb:
    -------------------------------------------------------

    > tja, die entwickler sind nun mal nur menschen...
    > und werden nicht mit milliarden bezahlt
    > ob die entwickler/programmierer von opera/firefox
    > cleverer sind wage ich zu bezweifeln - es kann
    > vielleicht daran liegen, dass bei microsoft jeder
    > programmierer nur einen kleinen teil des codes
    > sieht

    Sollten dann nicht gerade die kleinen Teile weit sauberer sein? Wenn jeder weniger Arbeit hat? Microsoft hat Zeit, Geld und Personal etwas besseres abzuliefern. Tun sie aber nicht. Und eine erklärung dafür scheint es nicht zu geben.



  4. Re: MSIE 6.0.*

    Autor: Melanchtor 12.10.05 - 11:22

    BSDDaemon schrieb:
    -------------------------------------------------------
    > Milliarden an Barreserven, Resourcen die mehrere
    > Firmen überdecken würden und jahrelange Erfahrung
    > und dann so ein Resultat.

    Oh Schrek! Da ist doch glatt mal wieder ein Bug in einer CSS gefunden worden! Skandal!

    Finde dich damit ab, der IE ist der meistverwendete Browser und deshalb Untersuchungsobjet der meisten Spielkälber. Wozu Safari untersuchen, den nutzen zu wenige...

    Bugs kommen nunmal in der Programmierung vor, sowohl bei CSS als auch bei OSS. Das QM ist bei CSS meist besser, bei OSS meist schlechter. Trotzdem bekommst du selbst von IBM für zOS des öfteren PTFs bzw. APARs.

  5. Re: MSIE 6.0.*

    Autor: BSDDaemon 12.10.05 - 11:39

    Melanchtor schrieb:
    -------------------------------------------------------

    > Oh Schrek! Da ist doch glatt mal wieder ein Bug in
    > einer CSS gefunden worden! Skandal!

    "Während das eine Sicherheitsloch als weniger gefährlich eingestuft wird, kann ein Angreifer über das andere Leck beliebigen Programmcode ausführen, sofern er sein Opfer zum Besuch einer präparierten Webseite oder Ansicht einer manipulierten HTML-E-Mail bringt."

    > Finde dich damit ab, der IE ist der
    > meistverwendete Browser und deshalb
    > Untersuchungsobjet der meisten Spielkälber. Wozu
    > Safari untersuchen, den nutzen zu wenige...

    'Untersuchunbgsobjekt' ... schon klar... beim Firefox sieht man in den Source und findet wenige Lücken, beim MSIE testet man mit Schüssen ins blaue und findet mehr Lücken. Und warum reagiert MS nicht drauf? Warum sind nur 57% der Lücken gepatcht?

    Microsoft MCIWNDX.OCX ActiveX Plugin Buffer Overflow
    Unpatched. Secunia Advisory 11 of 24 in 2003
    Eingestuft als hoch kritisch.

    Microsoft Internet Explorer Multiple Vulnerabilities
    Partial Fix. Secunia Advisory 20 of 34 in 2004
    Eingestuft als extrem kritisch.

    Bei den Einstufungen gibt es keine Ausreden.

    > Bugs kommen nunmal in der Programmierung vor,
    > sowohl bei CSS als auch bei OSS. Das QM ist bei
    > CSS meist besser, bei OSS meist schlechter.
    > Trotzdem bekommst du selbst von IBM für zOS des
    > öfteren PTFs bzw. APARs.

    Wozu bringt du IBM ins Spiel? Es geht um den MSIE6 der mehrere Jahre alt ist, mehrere 2 Jahre alte Lücken hat, weniger als 60% vom Hersteller gepatcht bekommen hat und noch immer und immer wieder neue Lücken hinzubekommt.

    Aber das bezieht sich ja nicht nur auf den MSIE.

    Microsoft XP Pro:
    118 Secunia Advisories
    78% Hersteĺler-Patch
    ------------------------
    RedHat Enterprise Linux 4 Workstation:
    111 Secunia Advisories
    100% Hersteller-Patch

    ------------------------
    ------------------------

    Microsoft Windows Server 2003 Enterprise Edition:
    071 Secunia Advisories
    87% Hersteller-Patch
    ------------------------
    RedHat Enterprise Advanced Server:
    112 Secunia Advisories
    100% Hersteller-Patch

    Und nun bedenke dass RedHat auch die Verantwortung und die Patches für Drittanbietersoftware mit in ihrer Liste hat.

  6. Re: MSIE 6.0.*

    Autor: Zerocrash2000 12.10.05 - 11:40

    Melanchtor schrieb:
    -------------------------------------------------------
    > CSS IE ... CSS ... OSS ... QM ... CSS ... OSS
    > ... IBM ... zOS ... PTFs ... APARs

    Deine Vorliebe für Abkürzungen ist ersckreckend^^

    {sry OOT}

    -------------------------------------------------------
    Stör nen Legasteniker nicht bei der Arbeit

  7. Re: MSIE 6.0.*

    Autor: blub 12.10.05 - 11:45

    Du laberst Müll!
    1. 95% aller Lücken werden von Sicherheitsfirmen gefunden und die testen den IE genauso wie Safari oder Opera oder Firefox oder Lynx oder oder oder.
    2. Jede Lücke, die in einem der Browser gefunden wird, wird sofort in allen andren auch getestet.

    Zum Thema QM bei CSS: kann man generell nicht sagen. Große Tools wie Apache usw. bekommen n besseres QM als die meiste CSS.
    Das QM von MS ist aber unter aller Sau! Man bedenke nur, wie oft die schon Patches für Patches gebracht haben. Und das obwohl sie im Gegensatz zu anderen Herstellern nicht innerhalb von 24h patchen sondern meist Wochen lang warten!

  8. Re: MSIE 6.0.*

    Autor: lus Tiger 12.10.05 - 12:13

    BSDDaemon schrieb:
    -------------------------------------------------------
    > zman schrieb:
    > --------------------------------------------------
    > -----
    >
    > > tja, die entwickler sind nun mal nur
    > menschen...
    > und werden nicht mit milliarden
    > bezahlt
    > ob die entwickler/programmierer von
    > opera/firefox
    > cleverer sind wage ich zu
    > bezweifeln - es kann
    > vielleicht daran liegen,
    > dass bei microsoft jeder
    > programmierer nur
    > einen kleinen teil des codes
    > sieht
    >
    > Sollten dann nicht gerade die kleinen Teile weit
    > sauberer sein? Wenn jeder weniger Arbeit hat?
    > Microsoft hat Zeit, Geld und Personal etwas
    > besseres abzuliefern. Tun sie aber nicht. Und eine
    > erklärung dafür scheint es nicht zu geben.
    >
    >

    Ohne überhaupt die News zu lesen, wusste ich es gibt wieder was am bösen Imperium Microsoft zu meckern. Wenn ihr was gegen Microsoft habt, dann kauft deren Software nicht! Falls ihr das überhaupt tut. Ich denke ein großteil lädt sich das Zeug sowieso über eMule und meckert dann

  9. Re: MSIE 6.0.*

    Autor: Melanchtor 12.10.05 - 12:23

    BSDDaemon schrieb:
    -------------------------------------------------------
    > "Während das eine Sicherheitsloch als weniger
    > gefährlich eingestuft wird, kann ein Angreifer
    > über das andere Leck beliebigen Programmcode
    > ausführen, sofern er sein Opfer zum Besuch einer
    > präparierten Webseite oder Ansicht einer
    > manipulierten HTML-E-Mail bringt."

    Soll ich dir jetzt die Beschreibungen zu Sicherheitslücken anderer Browser raussuchen, oder gar der Kernel-Lücken von Linux?

    > 'Untersuchunbgsobjekt' ... schon klar... beim
    > Firefox sieht man in den Source und findet wenige
    > Lücken, beim MSIE testet man mit Schüssen ins
    > blaue und findet mehr Lücken.

    Auf IE stürzen sich 1000 Spielkälber, auf den Firefox 50...

    > Bei den Einstufungen gibt es keine Ausreden.

    Nur unterschiedliche Ansichten, nicht nur bei MS, auch bei anderen Herstellern...

    > Wozu bringt du IBM ins Spiel? Es geht um den MSIE6

    Nein, es geht um QM bei der Programmierung allgemein und da ist IBM ein gutes Beispiel, da gerade zOS in vielen sicherheitsrelevanten Bereichen eingesetzt wird, in denen man echten Schaden verursachen kann, nicht nur auf nicht durch andere Sicherheitsmaßnahmen geschützten Heim-PCs.

    Zur Relevanz der Secunia-Einträge: Vergleiche doch mal z.B. die Anzahl für zOS http://secunia.com/product/210/ mit der Anzahl der PTFs bei IBM...

  10. Re: MSIE 6.0.*

    Autor: Melanchtor 12.10.05 - 12:26

    Zerocrash2000 schrieb:
    -------------------------------------------------------
    > Melanchtor schrieb:
    > --------------------------------------------------
    > -----
    > > CSS IE ... CSS ... OSS ... QM ... CSS ... OSS
    >
    > ... IBM ... zOS ... PTFs ... APARs
    >
    > Deine Vorliebe für Abkürzungen ist ersckreckend^^

    Du warst noch auf keinem IBM-Kurs, oder?

    Selbst SPOOL ist eine Abkürzung für Simultaineous Peripheral Operations OnLine.

  11. Re: MSIE 6.0.*

    Autor: blub 12.10.05 - 12:35


    > > 'Untersuchunbgsobjekt' ... schon klar...
    > beim
    > Firefox sieht man in den Source und
    > findet wenige
    > Lücken, beim MSIE testet man
    > mit Schüssen ins
    > blaue und findet mehr
    > Lücken.
    >
    > Auf IE stürzen sich 1000 Spielkälber, auf den
    > Firefox 50...
    >

    Und du meinst, diese 'Spielkälber' finden solch gravierende Bugs?
    Das ist eifnach nur Stupides pseudoargumentieren gegen Leute, die echte Argument contra MS vorbringen!

    https://forum.golem.de/read.php?6470,486145,486210#msg-486210

  12. Re: MSIE 6.0.*

    Autor: frowinger 12.10.05 - 12:39

    So ein Unsinn.

    Es gibt Leute, deren Berug es ist sich damit auseinanderzusetzen und damit zu arbeiten, WEIL MS eine quasi Monopolstellung inne hält, was scheinbar nicht zu dir vorgedrungen ist.

  13. Re: MSIE 6.0.*

    Autor: Melanchtor 12.10.05 - 12:42

    blub schrieb:
    -------------------------------------------------------
    > Und du meinst, diese 'Spielkälber' finden solch
    > gravierende Bugs?

    Das was die Sicherheitsfirmen anbringen sind doch nur die offiziell gefundenen Lücken, viel mehr von Spielkälbern gefundene Lücken sind doch gar nicht bekannt sondern werden von denen erstmal ausgenutzt. Dazu kommen noch die echten Industriespione, die Lücken auch in angeblich sicheren Betriebssystemen wie dem kernkraftwerkszertifizierten AIX kennen und ausnutzen, die bei keiner Sicherheitsfirma bekannt sind. Die sitzen allerdings nur selten im Browser...

  14. Re: MSIE 6.0.*

    Autor: blub 12.10.05 - 13:05

    Die haben aber nichts mit dem Thema zu tun. Diese 0days gibts nämlich in jeder Software. Egal ob OSS oder CSS (hab auch grad wieder ein neues in nem CS-TFTP-Server gefunden).
    Wenn du aber shcon die 0days ansprichst: CSS hat mit Sicherheit mehr davon! Bei OSS sieht jeder den Code. Wenn einer nen Bug findet, werden ihn recht schnell auch andere finden. Bei CSS ist das anders. Wenn einer durch Zufall (oder research sei mal dahingestellt) einen Bug findet, kann der noch Jahrelang verborgen und exploitable bleiben!

  15. Re: MSIE 6.0.*

    Autor: Melanchtor 12.10.05 - 13:10

    blub schrieb:
    -------------------------------------------------------
    > Wenn du aber shcon die 0days ansprichst: CSS hat
    > mit Sicherheit mehr davon! Bei OSS sieht jeder den
    > Code.

    Du gehst davon aus, dass der OSS-Code auch reviewed oder auditiert wird, ist aber de facto nur in den seltensten Fällen so. Bei den meisten OSS-Projekten schaut sich nur der Programmierer wirklich den Sourcecode an.

  16. Re: MSIE 6.0.*

    Autor: BSDDaemon 12.10.05 - 13:25

    lus Tiger schrieb:
    -------------------------------------------------------

    > Ohne überhaupt die News zu lesen, wusste ich es
    > gibt wieder was am bösen Imperium Microsoft zu
    > meckern. Wenn ihr was gegen Microsoft habt, dann
    > kauft deren Software nicht!

    Tu ich nicht, ich nutze seit Jahren GNU/Linux, aber was hat das damit zu tun? Zensur? Berechtigte Kritik verboten?

  17. Re: MSIE 6.0.*

    Autor: blub 12.10.05 - 13:26

    'der Programmierer'
    wir reden hier nicht von irgendwelchen kleinen OS Hello worlds, sondern von echter Software, die von mehr als einem Entwickler programmiert wird.
    Um mal bei den Browsern zu bleiben:
    Mozilla (damit meine ich jetzt wirklich nur die Seamonkey Suite) wird von 100en Programmierern überwacht. Da sitzen weit mehr Programmierer dran als am IE. Und das unentgeltlich!
    Bei Opera dagegen sitzen deutlich weniger Leute an der Programmierung als beim IE. Und dennoch haben beide weniger (bekannte!) Bugs als der IE. Also sind entweder die Entwickler a) unfähig oder b) zu nachlässig oder c) das QM bei MS ist de facto nicht vorhanden! a) schließe ich aus!


    Und du weißt ja: vier Augen sehen mehr als zwei!

  18. Re: MSIE 6.0.*

    Autor: BSDDaemon 12.10.05 - 13:29

    Melanchtor schrieb:
    -------------------------------------------------------

    > Soll ich dir jetzt die Beschreibungen zu
    > Sicherheitslücken anderer Browser raussuchen, oder
    > gar der Kernel-Lücken von Linux?

    Falles dir entgangen ist mein Bester:

    https://www.golem.de/0510/40954.html

    Das ist die News.

    > Auf IE stürzen sich 1000 Spielkälber, auf den
    > Firefox 50...

    50... soso... nur das diese 50 den kompletzten Einblick in den Source haben was 'mehr' erreicht als 100.000 Spielkälber die nur wild testen.

    > Nur unterschiedliche Ansichten, nicht nur bei MS,
    > auch bei anderen Herstellern...

    Bei Hoch und Extrem Kritischen Lücken gibt es keine Ausreden, bei niemandem.

    > Zur Relevanz der Secunia-Einträge: Vergleiche doch
    > mal z.B. die Anzahl für zOS mit der Anzahl der
    > PTFs bei IBM...

    Und?

    Es sind ganz einfache Zahlen: Bei MS wurden im Server bis dato 87% gefixt, bei RHEL4 100%. Und dass wo dort sehr viel Drittanbietersoftware mit ins Gewicht fällt.

  19. Re: MSIE 6.0.*

    Autor: BSDDaemon 12.10.05 - 13:34

    blub schrieb:
    -------------------------------------------------------

    > Mozilla (damit meine ich jetzt wirklich nur die
    > Seamonkey Suite) wird von 100en Programmierern
    > überwacht. Da sitzen weit mehr Programmierer dran
    > als am IE. Und das unentgeltlich!

    We currently have 168 supporters listed!

    > Bei Opera dagegen sitzen deutlich weniger Leute an
    > der Programmierung als beim IE. Und dennoch haben
    > beide weniger (bekannte!) Bugs als der IE. Also
    > sind entweder die Entwickler a) unfähig oder b) zu
    > nachlässig oder c) das QM bei MS ist de facto
    > nicht vorhanden! a) schließe ich aus!

    Nach seiner Meinung ist es ok wenn Microsoft als 'Weltmarktführer' mit dem 'Weltmarktbrowser' 43% der bekannten Lücken ohne eigenen Patch lässt, tanzt aber wild rum Wenn Mozilla Firefox 1.0.* bringt.

  20. Re: MSIE 6.0.*

    Autor: blub 12.10.05 - 13:39

    BSDDaemon schrieb:
    -------------------------------------------------------
    > blub schrieb:
    > --------------------------------------------------
    > -----
    >
    > > Mozilla (damit meine ich jetzt wirklich nur
    > die
    > Seamonkey Suite) wird von 100en
    > Programmierern
    > überwacht. Da sitzen weit mehr
    > Programmierer dran
    > als am IE. Und das
    > unentgeltlich!
    >
    > We currently have 168 supporters listed!

    Das sind die, die aktiv mitentwickeln. Es gibt aber auch die, die sich den Source nur für eigene 0days auditen. Wenn das kein code-exec gibt, wirds halt publiziert.

    >
    > > Bei Opera dagegen sitzen deutlich weniger
    > Leute an
    > der Programmierung als beim IE. Und
    > dennoch haben
    > beide weniger (bekannte!) Bugs
    > als der IE. Also
    > sind entweder die Entwickler
    > a) unfähig oder b) zu
    > nachlässig oder c) das
    > QM bei MS ist de facto
    > nicht vorhanden! a)
    > schließe ich aus!
    >
    > Nach seiner Meinung ist es ok wenn Microsoft als
    > 'Weltmarktführer' mit dem 'Weltmarktbrowser' 43%
    > der bekannten Lücken ohne eigenen Patch lässt,
    > tanzt aber wild rum Wenn Mozilla Firefox 1.0.*
    > bringt.

    Du weißt aus vorherigen Threads, dass wir ziemlich die gleiche Meinung vertreten. Ich denke nicht, dass er das als 'OK' ansieht, er sieht es einfach nur etwas anders als wir. Du solltest ihn aber dennoch nciht diskreditieren, denn das ist IMO ATM eine akzeptable und sachliche Diskussion. :)
    Und sowas ist bei einem solchen Thema sehr selten!

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Embedded Software Developer / Engineer (m/f/d)
    OTT Hydromet GmbH, Kempten
  2. Mobile Developer Android (w/m/d)
    SMF GmbH, Dortmund
  3. Teamassistenz im Bereich IT (m/w/d)
    XENIOS AG, Heilbronn
  4. IT Projektmanager (m/w/d) ERP-Systeme
    SARPI Deutschland GmbH, Marl

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Starter Edition für 5,99€, Marching Fire Edition für 11,50€, Complete Edition für 22...
  2. 21,24€
  3. 39,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Nach Datenleck: Hausdurchsuchung statt Dankeschön
Nach Datenleck
Hausdurchsuchung statt Dankeschön

Rund 700.000 Personen sind von einem Datenleck betroffen. Ein Programmierer hatte die Lücke entdeckt und gemeldet - und erhielt eine Anzeige.
Von Moritz Tremmel

  1. Großbritannien E-Mail-Adressen von 250 afghanischen Übersetzern öffentlich
  2. Datenleck Daten von 106 Millionen Thailand-Reisenden geleakt
  3. Datenleck Daten von Autovermietung in öffentlichem Forum geteilt

Geschäftsethik bei Videospielen: Auf der Suche nach dem Wal
Geschäftsethik bei Videospielen
Auf der Suche nach dem Wal

Das Geschäftsmodell von aktuellen Free-to-Play-Games nimmt das Risiko in Kauf, dass Menschen von Spielen abhängig werden. Eigentlich basiert es sogar darauf.
Von Evan Armstrong

  1. Free-to-Play Kostenlose Spiele für fast alle Plattformen

Neue Editionen von Koch Films: David Lynchs Dune jetzt auch in 4K
Neue Editionen von Koch Films
David Lynchs Dune jetzt auch in 4K

Vier Wochen nach dem Kinostart von Denis Villeneuves Dune, präsentiert Koch Films David Lynchs Version aus dem Jahr 1984 in einer 4K-Edition.
Von Peter Osteried

  1. Science-Fiction der Neunziger Babylon 5 wird neu aufgelegt
  2. 25 Jahre Independence Day Ein riesiges Raumschiff und ein riesiger Erfolg
  3. Dune Der Wüstenplanet so schön wie nie zuvor